Согласно опросу ВЦИОМ, порядка 90% россиян считают, что в настоящее время против России ведется информационная война. При этом в новостном поле все чаще появляются сообщения о кибератаках на правительственные сайты и ресурсы государственных корпораций. А хакерская группировка «Anonymous» и вовсе открыто заявила, что находится в состоянии кибервойны против России. В этой ситуации новые правовые стандарты информационной безопасности по силам задать представителям крупных компаний.

Об увеличении количества компьютерных атак на российские информационные ресурсы в последнее время говорят часто. Возросшую киберугрозу подтвердил и недавно созданный Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Специалисты центра порекомендовали российским организациям усилить бдительность при мониторинге вредоносной активности, направленной на объекты, находящиеся в зоне их ответственности, организовать процесс приоритетной обработки информации об аномалиях, обнаруживаемых в работе. А в случае выявления признаков целенаправленных компьютерных атак незамедлительно информировать НКЦКИ для своевременной выработки мер противодействия.

«Атаки могут быть направлены на нарушение функционирования важных информационных ресурсов и сервисов, нанесение репутационного ущерба, в том числе в политических целях. Кроме того, в дальнейшем возможно проведение вредоносных воздействий из российского информационного пространства для формирования негативного образа Российской Федерации в глазах мирового сообщества», - сообщили в НКЦКИ.

Однако предостережения смогли уберечь не все российские организации. Так, DDoS-атаке подвергся сайт телеканала «Russia Today» на русском языке, сайт госкорпорации «Роскосмос» также стал целью для хакеров, об атаке на свой портал заявляли представители «РЖД», о массированных DDoS-атаках сообщала также пресс-служба партии «Единая Россия».

Слабые места

Такая уязвимость перед атаками извне не случайна и обусловлена не только повышенным внимание со стороны злоумышленников, но и неподготовленностью самих компаний. В частности, специалисты компании «СёрчИнформ» считают, что оснащенность российских компаний защитным программным обеспечением не соответствует уровню существующих угроз информационной безопасности. По данным исследования, которое компания проводила в конце 2021 года, даже встроенные в операционные системы инструменты безопасности используются не везде.

При этом основным мотивом к внедрению ПО для информационной безопасности респонденты из коммерческого сектора называют реальные потребности бизнеса (70%). На втором месте – требования регуляторов (32%). В госсекторе картина противоположная: там 71% компаний вкладываются в информационную безопасность для соблюдения нормативов и только 31,5% ощущают реальную потребность в защите данных. При этом компании чаще всего тратят бюджеты на продление лицензионных ключей на защитные решения и техподдержку (86% опрошенных). О закупке нового оборудования и ПО говорили немногим больше половины опрошенных (53%).

«В нынешней ситуации перед организациями встает вопрос усиления защиты. Но в течение последних трех лет мы видим, что только четверть российских компаний увеличивают расходы на информационную безопасность. В 62% компаний бюджет остается без изменений и тратят его на продление лицензионных ключей и техподдержку, тогда как сейчас необходимы новые закупки и масштабирование уже внедренного ПО», - комментирует ситуацию Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ». 

Однако перед российским бизнесом остро встает еще одна проблема - это необходимость замещения тех зарубежных решений, которые приостановили работу на российском рынке. При этом для компаний решение этих задач, прежде всего, связано с финансовыми затратами. Ведь закупка нового ПО предполагает выделение бюджета под эти нужды, а к такой дополнительной финансовой нагрузке были готовы не все.

Кроме того, осуществить процесс замещения не всегда возможно в быстром темпе. Особенно это касается специализированного отраслевого ПО, которое уникально для каждой отрасли. Зачастую такие программы дорабатываются под конкретные предприятия годами. То есть весь путь внедрения нового ПО компаниям придется начать сначала, даже если отечественный аналог уже существует.

В тоже время, проблема утечки персональных данных в последнее время становится все актуальнее. Так, в 2019 году крупная утечка данных произошла в «Сбербанке» - в Сети оказались данные по кредитным картам клиентов организации. В 2020 году в Сеть попали 100 тыс. записей с данными переболевших коронавирусом москвичей. В году текущем громкая история потери данных тоже имела место быть – были утеряны персональные данные клиентов сервиса доставки «Яндекс.Еда». Несмотря на то, что компания в своем заявление пыталась оправдаться, обвинив в утечке недобросовестного сотрудника, некоторые клиенты сервиса обратились с исками в суд. Так, в Замоскворецком районном суде было зарегистрировано уже два: групповой и одиночный. В них выставлены аналогичные требования — компенсация в размере 100 тыс. рублей на каждого пользователя.

Доказать утечку

При этом судебная практика по вопросу утечки персональных данных весьма неоднозначна. Обусловлено это тем, что суду нужно доказать не только убытки от утечки, но еще и обосновать их размер, что в совокупности сделать совсем не просто. В тоже время ответчик, выстраивая линию защиты, как правило, обращает внимание суда на то, что прямой причинно-следственной связи между утечкой и убытками нет. Именно из-за отсутствия прямой связи суд может не принять во внимание доводы истца. В этой связи единственный реальный способ получить компенсацию — это обращаться в суд за возмещением морального вреда. 

«В суде нужно доказать, что человек на самом деле испытывал психологические или физические страдания из-за утечки персональных данных. Например, ему стало плохо с сердцем, вызывал скорую, покупал успокоительное. Чем больше плохих событий человеку пришлось пережить, тем больше будет компенсация», - комментирует возможные аргументы истца эксперт «Актион Право» Евгений Крылов.

Кроме того, при обращении в суд следует принимать во внимание то, что ни в законодательстве, ни в судебной практике не предусмотрены критерии определения размера компенсации морального вреда, поэтому такой размер будет определяться в каждой конкретной ситуации с учетом имеющихся обстоятельств. При этом на практике суммы, взыскиваемые судом, зачастую даже не покрывают судебных расходов.

«Из судебной практики вспоминаются история из 2016 года, когда Мосгорсуд назначил компенсацию в размере 1 тыс. рублей за распространенное фото в купальнике с оскорбительными комментариями. А в 2019-м та же тысяча рублей была присуждена в результате звонков с требованием об оплате несуществующей задолженности», - комментирует возможные размеры компенсаций эксперт Максим Али из «Maxima Legal».

Безусловно, такие незначительные суммы компенсаций и сложность доказательного процесса не стимулируют граждан обращаться в суд в случае утечки их персональных данных. В свою очередь, данный факт не позволяет сформировать единую судебную практику по подобным делам. В тоже время очевидна и необходимость увеличения порога минимальных взыскиваемых компенсаций, чтобы они были ощутимы для бизнеса, допустившего утечку. Бизнесу же стоит повышать уровень информационной безопасности внутренними мерами. Ведь репутационные потери, которые компании несут при утечке данных, не сравнятся по своей разрушительности с взыскиваемыми компенсациями.